네트워크 세그먼테이션은 네트워크를 여러 개의 세그먼트나 서브넷으로 나누는 아키텍처 방식으로, 각각이 소규모 네트워크 역할을 합니다. 네트워크 관리자는 세분화된 정책에 따라 서브넷 간의 트래픽 흐름을 제어할 수 있습니다. 조직에서는 세그먼테이션을 사용하여 모니터링과 성능을 개선하고, 기술 문제를 현지화할 수 있으며, 무엇보다도 보안이 강화됩니다.

네트워크 세그먼테이션은 네트워크 보안 관리자가 권한이 없는 사용자, 호기심 많은 내부자, 악성 공격자 등이 이른바 기업의 "보석"과도 같은 귀중한 자산(예: 고객 개인 정보, 회사 재무 기록, 기밀 지적 재산)에 액세스하지 못하게 차단할 수 있는 강력한 도구가 됩니다. 현재 하이브리드 및 멀티 클라우드 환경(퍼블릭 클라우드, 프라이빗 클라우드, 소프트웨어 정의 네트워크(SDN))에 자산이 흩어져 있는 경우가 많은데, 그 모든 자산을 공격으로부터 보호해야 합니다. 네트워크 세그먼테이션을 보안에 활용하는 방법을 이해하려면 먼저 네트워크 보안에서 트러스트의 개념을 고려해야 합니다.

트러스트 가정

예전에는 네트워크 아키텍트가 네트워크 경계(외부 세계와 회사 사업에 중요한 데이터를 분리하는 투명한 경계)에 보안 전략을 적용했습니다. 경계 내에 있는 사람은 신뢰할 수 있고, 위협이 아니라고 가정했습니다. 따라서 정보 액세스 권한에 제한이 거의 없었습니다.

최근 들어 발생한 대규모 해킹 사건으로 인해 트러스트 가정에 대한 확신이 무너졌습니다. 무엇보다 내부자가 보안 침해의 원인이 될 수 있습니다. 일반적으로는 의도치 않게 발생하지만, 가끔은 의도적으로 발생하기도 합니다. 게다가 위협이 경계로 침투하면 자유롭게 내부망을 이동하며 사실상 모든 데이터, 애플리케이션, 자산, 서비스(DAAS)에 액세스할 수 있습니다. 공격자는 거의 아무런 제약 없이 액세스하면서 모든 귀중한 자산을 손쉽게 유출할 수 있으며, 사건 발생 이후에야 침해가 탐지되는 경우가 많습니다(그림 1 참조).

그림 1: 트러스트 가정이 적용된 경계 내의 내부망 이동

제로 트러스트 대응
신뢰를 전제로 하는 가정은 본질적인 취약점이 존재하기 때문에 많은 조직에서 제로 트러스트 전략을 도입하기 시작했습니다. 제로 트러스트는 기본적으로 모든 사람, 심지어 이미 네트워크 경계 내에 있는 사람조차 신뢰할 수 없다고 가정합니다. 제로 트러스트는 조직의 가장 중요하고 귀중한 DAAS 주변에 구축한 "보호 표면"을 중심으로 작동합니다. 보호 표면은 사업 운영에 가장 중요한 것만 포함하고 있기 때문에 전체 네트워크 경계의 공격 표면보다 훨씬 작습니다.

여기에 네트워크 세그먼테이션이 필요합니다. 네트워크 아키텍트는 세그먼테이션을 활용하여 보호 표면 주변으로 마이크로 경계를 구성할 수 있습니다. 기본적으로 제2의 방어선이 구축되는 것입니다. 경우에 따라 가상 방화벽으로 보호 프로비저닝을 자동화하여 세그먼테이션 작업을 단순화할 수 있습니다. 어떤 방식으로 네트워크 세그먼테이션을 실행하든, 권한이 있는 사용자가 보호 표면 내의 자산에 액세스하고 그 외의 사용자는 기본적으로 차단됩니다.

신뢰를 전제로 하던 시절과 달리, 경계에 침입하더라도 민감한 정보에 액세스할 수 없기 때문에 세그먼테이션은 공격자에게는 나쁜 소식입니다. 마이크로 경계는 물리적이든, 가상적이든 위협의 내부망 이동을 차단하며, 기본적으로 최초 보안 침해로 이어지는 대부분 공격을 무력화합니다(그림 2 참조).

그림 2: 제로 트러스트와 네트워크 세그먼테이션을 적용한 이후 경계 내 이동 제한

사용 사례
조직들은 다음과 같이 다양한 용도로 네트워크 세그먼테이션을 활용할 수 있습니다.

• 게스트 무선 네트워크: 네트워크 세그먼테이션을 사용하면 기업은 비교적 안전하게 방문객과 계약자에게 Wi-Fi 서비스를 제공할 수 있습니다. 게스트 자격 증명으로 로그인하면 인터넷에만 액세스할 수 있는 마이크로 세그먼테이션에 들어가게 됩니다.
• 사용자 그룹 액세스: 많은 기업이 내부자 보안 침해를 예방하기 위해 권한이 있는 그룹 멤버와 업무에 필요한 DAAS로만 구성된 별도의 서브넷으로 내부 부서를 분할합니다. 서브넷 간의 액세스는 엄격히 통제됩니다. 예를 들어, 엔지니어링 부서의 누군가가 인사부 서브넷에 액세스하려고 하면 경보가 울리고 조사가 시작됩니다.
• 퍼블릭 클라우드 보안: 일반적으로 클라우드 서비스 제공업체가 클라우드 인프라의 보안을 책임지지만, 고객이 인프라 위에서 실행되는 운영 체제, 플랫폼, 액세스 제어, 데이터, 지적 재산, 소스 코드의 보안을 책임져야 합니다. 세그먼테이션은 퍼블릭 및 하이브리드 클라우드 환경에서 애플리케이션을 분리하는 데 효과적입니다.
• PCI DSS 규정 준수: 네트워크 관리자는 세그먼테이션을 사용하여 모든 신용카드 정보를 보안 존(즉, 보호 표면)으로 격리하고, 존 내에서 최소한의 정상 트래픽만 허용하면서 그 외의 모든 트래픽은 자동 거부하는 규칙을 생성할 수 있습니다. 이렇게 격리된 존은 보통 가상화된 SDN이며, 가상 방화벽을 통해 PCI DSS 규정을 준수하고 세그먼테이션을 적용합니다.

요점 정리
네트워크 세그먼테이션은 물리적, 논리적 세그먼테이션으로 구현할 수 있습니다.

이름에서부터 알 수 있듯이, 물리적 세그먼테이션은 대규모 네트워크를 소규모 서브넷의 모음으로 분할합니다. 물리적 방화벽 또는 가상 방화벽이 서브넷 게이트웨이로 작동하면서 오가는 트래픽을 통제합니다. 토폴로지가 아키텍처에 고정되어 있기 때문에 물리적 세그먼테이션은 비교적 간단합니다.

논리적 세그먼테이션은 두 가지 기본 방법(가상 로컬 영역 네트워크(VLAN) 또는 네트워크 주소 지정 방식) 중 하나를 사용해서 생성합니다. VLAN 태그가 해당 서브넷으로 트래픽을 자동 라우팅하기 때문에 VLAN 기반 방식은 상당히 간단하게 구현할 수 있습니다. 네트워크 주소 지정 방식도 똑같이 효과적이지만, 네트워크 이론에 대한 자세한 이해가 필요합니다. 케이블을 연결하거나 구성 요소를 물리적으로 이동할 필요가 없으므로 논리적 세그먼테이션이 물리적 세그먼테이션보다 유연합니다. 자동 프로비저닝을 사용하면 서브넷 구성을 상당히 단순화할 수 있고,

세그먼테이션 아키텍처로 이동하면 방화벽 정책 관리를 단순화할 수 있습니다. 요즘은 서브넷 액세스 제어와 위협 탐지, 완화를 네트워크의 여러 부분에서 관리하는 대신 하나의 통합 정책을 사용하는 방법을 권장합니다. 이 방법을 사용하면 공격 표면이 줄어들고 조직의 보안 태세가 강화됩니다.

네트워크 세그먼테이션에 대한 자세한 내용은 여기를 클릭하여 확인하세요.